Iptables nat

Ali · Сообщение **Ali** » 17.10.2005 10:58

Как сделать редирект всех пользователей с порта 80 на 3128 кроме с eth1 и одного хоста внутренней сети? Заранее спасибо!!!

vidok · Сообщение **vidok** » 17.10.2005 12:02

iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
iptables -A INPUT -s ............. -p tcp --dport 80 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
чтото типа этого
тебе eth1 и один хост вообще надо отрубить или просто они по другому пути пойдут??????????

Ali · Сообщение **Ali** » 17.10.2005 13:07

нет не DROP. Они должны иметь доступ на 80 порт. А остальные при обращении на 80 перенаправлялись на 3128. Вобщем все пользователи локалки должны идти в инет через squid , кроме одного который я хочу пустить мимо прокси через iptables, а с eth1 запросы на сайт который висит на серваке(и шлюз в инет и web-сервер) не редиректировались на 3128.

vidok · Сообщение **vidok** » 17.10.2005 13:34

iptables -t nat -A PREROUTING -i ! eth1 -s ! ...........-p tcp --dport 80 -j REDIRECT --to-ports 3128

Ali · Сообщение **Ali** » 19.10.2005 16:25

Где можно явно увидеть(в командах) настроийки iptables(в каком файле)?

vidok · Сообщение **vidok** » 19.10.2005 17:40

iptables -L
если делал iptables-save > /etc/sysconfig/iptables то там тоже

Ali · Сообщение **Ali** » 20.10.2005 10:57

vidok писал(а): ↑
19.10.2005 17:40
iptables -L
если делал iptables-save > /etc/sysconfig/iptables то там тоже

Ну понятно. Значит по-другому никак. Thanks!

SashaAl · Сообщение **SashaAl** » 20.10.2005 14:56

vidok писал(а): ↑
17.10.2005 13:34
iptables -t nat -A PREROUTING -i ! eth1 -s ! ...........-p tcp --dport 80 -j REDIRECT --to-ports 3128

А как редирект с eth0 на eth1 сделать? Просто нат. Кстати, для этого надо будет ip_forwarding включить?

vidok · Сообщение **vidok** » 21.10.2005 12:59

вообще то самое офигенное руководство по iptables это
http://www.opennet.ru/docs/RUS/iptables/
по крайней мере для себя я нахожу все ответы там

SashaAl · Сообщение **SashaAl** » 24.10.2005 19:06

2vidok
добавил правило маскарадинга:
iptables -t nat -A POSTROUTING -s x.x.x.0/24 -j SNAT --to-source y.y.y.2
-s x.x.x.0/24 - локальная сетка, нв интерфейте eth1
y.y.y.2 - IP адрес сетевки eth0, через который все пакетики бегут "наружу"
Все хорошо, нат заработал (хотя непроверял обратное направление). А вот как вот к этому правилу да добавить, что бы не все пакеты гуляли туда-сюда, а только на 25й и 110й порты, т.е. только почта в обход проксе была?

vidok · Сообщение **vidok** » 24.10.2005 19:11

iptables -A FORWARD -i eth1 -s $NET1 -p tcp -o ppp0 -m multiport --dport 25,110,143 -j ACCEPT
iptables -A FORWARD -i eth1 -s $NET1 -p udp -o ppp0 -m multiport --dport 25,110,143 -j ACCEPT
остальное дропаешь
P.S. это кусок моего конфига, надеюсь наведу тебя на мысль

SashaAl · Сообщение **SashaAl** » 24.10.2005 19:22

значение $NET1 напиши .... я только-только начал разбираться с iptables'ами, поэтому еще сложнова-то сразу расшифровывать правила

vidok · Сообщение **vidok** » 24.10.2005 19:35

просто у меня 3 подсети, чтоб каждый раз их не писать я переменные сделал
$NET1=192.168.1.0/24

unixforum.org

Iptables nat

Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat

Re: Iptables nat